FireEye : 3 nouveaux « zero day » exploités par des attaquants patchées hier par Microsoft

0
93

FireEye a identifié trois nouveaux « zero day » exploités par des attaquants,  dans Microsoft Office, patchées hier par Microsoft.

FireEye annonce que ses analystes ont identifié trois nouvelles vulnérabilités « zero day » dans des produits Microsoft Office. Ces trois vulnérabilités, exploitées pour l’une dès la fin du mois de mars 2017, ont été patchées par Microsoft le 9 mai.

FireEye a détecté plusieurs exemples de documents malveillants exploitant les vulnérabilités CVE-2017-0261 et CVE-2017-0262 présentes dans EPS (Encapsulated PostScript). FireEye a aussi découvert des documents malveillants utilisant une combinaison de vulnérabilités incluant la vulnérabilité CVE-2017-0262 ainsi qu’une escalade de privilèges (EOP) exploitant la vulnérabilité CVE-2017-0263. Ces trois vulnérabilités ont été utilisées par les acteurs de menaces russes Turla Group et APT28.

FireEye s’est coordonné avec le Microsoft Security Response Center (MSRC) pour une divulgation responsable de cette information.

La faille CVE-2017-0261 permet à un attaquant d’exécuter un programme malicieux sur l’ordinateur d’une victime à l’ouverture d’un fichier Microsoft Office. Cette vulnérabilité a été utilisée par Turla Group, un groupe russe spécialiste du cyber espionnage, mais ayant également des motivations financières. Les deux autres failles (CVE-2017-0262 et CVE-2017-0263) ont été exploitées par le groupe APT28 pour cibler des entités diplomatiques et de défense en Europe.

Ces événements amènent les analystes de FireEye à mettre en avant deux importantes conclusions :

Le cyber-espionnage est une menace dynamique et pleine de ressources

L’utilisation d’exploits zero day par Turla Group et APT28 souligne leur capacité en employer des méthodes coûteuses et techniquement sophistiquées si nécessaire. Les acteurs de cyber-espionnage russes utilisent des exploits zero day en complément de techniques moins complexes. Bien que ces acteurs se soient appuyés sur des techniques de phishing d’identifiants et sur des macros pour mener des opérations par le passé, l’utilisation de ces méthodes plus sophistiquées témoigne de moyens importants. En fait, l’utilisation de méthodes moins sophistiquées techniquement – lorsqu’elles sont suffisantes – reflète plutôt une maturité opérationnelle et une réflexion en amont afin de ne mettre en œuvre des exploits coûteux que lorsqu’ils s’avèrent nécessaires.

Un écosystème de menaces dynamique

L’utilisation de la faille CVE-2017-0261 par de multiples acteurs est une preuve supplémentaire que le cyber-espionnage et les activités criminelles évoluent dans un écosystème partagé. Des acteurs sponsorisés par des états nations, tels que ceux qui ont exploité la faille CVE-2017-0199 pour diffuser FINSPY, s’appuient souvent sur les mêmes sources pour leurs ‘exploits’ que des acteurs à motivation criminelle. Cet écosystème partagé crée un problème de prolifération pour les cibles concernées par l’une ou l’autre de ces menaces.

La faille CVE-2017-0261 a été utilisée comme un “zero day” à la fois par des acteurs sponsorisés par des états nations et des cybercriminels, et FireEye estime que les deux acteurs ont obtenus la vulnérabilité à partir de la même source. A la suite de la faille CVE-2017-0199, il s’agit de la seconde vulnérabilité majeure en 2 mois qui a été utilisée à la fois pour le cyber-espionnage et des activités criminelles.